7Payの不正クレジット使用に関するメモ SIerが抱える構造的な欠陥
-
pratula_twi
- 66676
- 694
- 119
- 484
-
- いいね!484
星を見るゴリラ
@pratula_twi
セブンペイ、一番あり得ないのは 社長が「セキュリティインシデント発生時の計画」がないまま記者会見に参加したこと。 これが経営者として致命的すぎる。 本来は監査部門が経営者から独立して、経営者にセキュリティ規約を守らせないといけない。 監査部門は何をやっていたのか #7pay
2019-07-04 20:09:12
星を見るゴリラ
@pratula_twi
正にコレ。 こうならないためのインシデント対応計画なんだよ。 どう見ても策定してない youtu.be/3-pzOV0OLyw
2019-07-04 20:10:28
星を見るゴリラ
@pratula_twi
同じ不祥事でも 例えば車のリコールだったら 「弊社の丸々という部品に問題がありました」って発表するでしょ。 何故それが出来るかと言うと、事件が発生したときのマニュアルが設定してあるから セブンペイは何も決めてなかった
2019-07-04 20:18:13
星を見るゴリラ
@pratula_twi
セブンペイについてもうちょっと書くと、これはセブンペイの問題だけじゃなくて、 SIerと仕事をする全ての企業が抱えるリスク
2019-07-04 21:35:24
星を見るゴリラ
@pratula_twi
今回のインシデント。 余りにも初歩的な業務フローミス(仕様のミス)であるんだけど、 その後の対応もあり得ないレベルで失策。
2019-07-04 21:35:24
星を見るゴリラ
@pratula_twi
まず、「監査部門からセキュリティについては問題なし」と念押しした。 そして「これからに関しては調査中」と繰り返した 一番あり得ない。
2019-07-04 21:35:24
星を見るゴリラ
@pratula_twi
まず、インシデントが起こったとき、まず初めにするべきは影響範囲の調査と、セキュリティ計画に乗っ取ったインシデント対応。 会見では「計画のけの字」も聞かなかったぜ
2019-07-04 21:35:25
星を見るゴリラ
@pratula_twi
まず、セブン&アイ・ホールディングスほどのユーザー企業なら、セキュリティ計画を実施してない訳がない。 社長は、敢えてか知らないけど、自社のセキュリティ計画すらガン無視して記者会見した
2019-07-04 21:35:25
星を見るゴリラ
@pratula_twi
ガン無視したならまだいい方で、コレほど巨大なIT企業に関わらず、インシデント発生時の計画がなかった可能性がある。 ホントにあり得ない。
2019-07-04 21:35:25
星を見るゴリラ
@pratula_twi
また、社長はセブンペイのシステムについてまるで知らなかった。 そして、セブンペイのシステムを作っているのは、NTTや日本オラクルなど、著名なIT企業などの、その「協力会社」だという。 セブンペイのシステムを作ったのがSIerゼネコンであることは明らかだ
2019-07-04 21:35:26
星を見るゴリラ
@pratula_twi
勿論、SIerで実装をしているのは偽装請負や、派遣で雇われたプログラマーである。 コレほど単純なミスを、現場のプログラマーが知らなかったわけがない。 現場プログラマーの認識が監査部門に届いていなかったのは明白だ
2019-07-04 21:35:26
星を見るゴリラ
@pratula_twi
正直、この機能を作って、「他のメールアドレス入れたらどうなるんだろう」と考えない訳がない SIerゼネコンのどこかで、この問題は「顧客が求めてるんだから実装するんだよ」になったのだ
2019-07-04 21:35:26
星を見るゴリラ
@pratula_twi
余談だけど、SIerゼネコンは、去年も多重請負構造が原因のセキュリティ事故を起こしてる "国税庁 240万件マイナンバー流出事故" いい加減自社でプログラマー雇え
2019-07-04 21:35:26
星を見るゴリラ
@pratula_twi
じゃあ、外国のIT企業はどうしてるのかと言うと Amazonがセキュリティではないけど、インシデントを起こした事がある。
2019-07-04 21:35:27
星を見るゴリラ
@pratula_twi
ある日Amazon Web Service の北米ヴァージニア州にあるデータセンターの重要な機能(S3ストレージ)が全てダウンした。 被害額は想像もつかない
2019-07-04 21:35:27
星を見るゴリラ
@pratula_twi
Amazonはこの原因を調査し、 北米データセンターにあるエンジニアが、間違って、特権ユーザーで、一部のサーバーをシャットダウンするつもりが、重要なサブシステムまでシャットダウンしてしまった事が原因だとわかった
2019-07-04 21:35:28
星を見るゴリラ
@pratula_twi
勿論、Amazonは色んな企業に避難され、エンジニアも始末書を書くはめになったが、 AWS現在でも世界で一番儲けてるクラウドサービスである
2019-07-04 21:35:29
星を見るゴリラ
@pratula_twi
ここで大事なのは、何故ここまで早い調査が出来たか、である。 勿論、エンジニアが「自分がやりました」と正直に答えたからだ
2019-07-04 21:35:29
星を見るゴリラ
@pratula_twi
何故エンジニアが正直に答えられたか、 仕事を首にならないからである。 間違いは間違いなのだから、認めて、正しい仕事をすればいい
2019-07-04 21:35:29
星を見るゴリラ
@pratula_twi
これが日本ではそうはいかない 日本のプログラマーはほとんど派遣か偽装請負であり、間違いを報告すると首になるのだ。 残業も増えるしな
2019-07-04 21:35:30
星を見るゴリラ
@pratula_twi
セブンペイは原因は現在も調査中で、影響範囲も分からない、という。 実際に作った人が何処の誰だか分かってないのは明らかだ
2019-07-04 21:35:30